Dunajska cesta 156, 1000 Ljubljana
Telefon: 031 692 524

Blog

OSNOVNI POJMI, KI JIH MORAMO POZNATI PRI GDPR

Ali veste kaj pomeni kratica GDPR?

GDPR je kratica za ang. General Data Protection Regulation, kar je Splošna uredba Evropske unije o varovanju osebnih podatkov, ki je stopila v veljavo s 25. majem 2018.

Z veljavo uredbe je prišlo tudi do definiranja nekaterih pojmov, za katere se nam zdi, da poznamo definicijo iz vsakdanjega življenja, pa vendar ni tako lahko.

Najprej moramo razložiti osnovni pojem osebni podatek. Osebni podatek je vsak podatek, ki se nanaša na določenega ali določljivega posameznika. To pa še ni vse! Poleg imena, naslova osebe in datuma rojstva spadajo v skupino osebnih podatkov še spletni identifikatorji, ID piškotkov, RFID oznake, IP naslovi, psevdonimni podatki in genetski podatki.

Osebne podatke nekdo obdeluje. Beseda obdelovanje podatkov pomeni že samo zbiranje, pridobivanje, vpis, urejanje, prilagajanje ali spreminjanje, shranjevanje ali združevanje podatkov v zbirke, priklic, vpogled, uporabo ali sporočanje, ki vključuje prenos, iskanje, blokiranje in izbris.

Omejitev obdelave osebnih podatkov pomeni označevanje shranjenih osebnih podatkov zaradi njihove obdelave v prihodnosti. Na podlagi avtomatizirane obdelave osebnih podatkov lahko oblikujemo profile, ki jih uporabimo za ocenjevanje posameznika – analiza uspešnosti pri delu, analiza zdravja, interesov, lokacije, gibanja posameznika, ipd.

Za obdelavo osebnih podatkov lahko uporabimo psevdonimizacijo, ki pomeni, da osebne podatke obdelamo na način, da osebnega podatka ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo. Zanje veljajo vsi organizacijski in tehnični ukrepi, da se ne pripišejo posamezniku.

Osebni podatki so lahko občutljivi oziroma posebne vrste. To je poimenovanje za osebne podatke, ki razkrivajo etnično ali rasno poreklo, versko prepričanje, politično usmerjenost, članstvo v sindikatih, genetske in biometrične podatke, ki se nanašajo zgolj na identifikacijo enega posameznika, podatke, ki se nanašajo na spolno usmerjenost ter na zdravstveno stanje posameznika.

 

VIR:

Zakon o varstvu osebnih podatkov (ZVOP-1). Uradni list RS, št. 94/07. Pridobljeno na http://pisrs.si/Pis.web/pregledPredpisa?id=ZAKO3906

Kaj pomeni zavarovanje osebnih podatkov?

KAJ POMENI ZAVAROVANJE OSEBNIH PODATKOV?

GDPR SKOZI POUDARKE INFORMACIJSKE POOBLAŠČENKE MOJCE PRELESNIK – 6. DEL

Kaj pomeni zavarovanje osebnih podatkov?

»Predstavljajte si, da so to vsi ukrepi, ki preprečujejo, da bi nepooblaščeni prišli do osebnih podatkov. Pa naj bodo to organizacijski, tehnični, logično-tehnični postopki in ukrepi – da se varujejo oprema, prostori in nenazadnje, da se podatki, ko ni več podlage (denimo ob umiku soglasja za obdelavo osebnega podatka), ustrezno uničijo, anonimizirajo, blokirajo,« pojasnjuje Informacijska pooblaščenka.

Kako zavarovati osebne podatke? S pravnega vidika predvsem z jasnimi določbami in pravilniki. Zaposleni morajo biti s pravilniki seznanjeni, točno mora biti določeno, kdo je za kakšno osebno zbirko podatkov zadolžen. V praksi se morajo dostopne pravice prilagajati in stalno ažurirati, da se izognemo uhajanju osebnih podatkov. Podeljevanje in odvzemanje pravic mora biti jasno vnaprej, dostopi se morajo omejevati. Točno mora biti jasno, kdo in na kakšen način lahko dostopa do zbirk osebnih podatkov.

GDPR zahteva še večjo varnost obdelave. »GDPR upravljavcem nalaga strahovito težko breme in pravi, da mora ves čas paziti, da je skladen z zakonom oz. da obdelava poteka na način, ki je ustrezen, tako, da upošteva najnovejši tehnološki razvoj,« pojasnjuje Prelesnikova o tehnološki nevtralnosti, ki jo zahteva GDPR. »Tehnološki razvoj je treba spremljati, paziti je treba na namen obdelovanja podatkov in na temeljne človekove pravice, da ne gre za prevelik poseg.«

Ste že poskrbeli za pravno in IT skladnost z GDPR? Zahteve so velike. Ne verjamete? Ob tem, da je potrebno upoštevati najnovejši tehnološki razvoj, stroške, naravo, obseg, okoliščine ni namen obdelave, tveganja za temeljne človekove pravice, ki ga lahko obdelava predstavlja, izvesti ustrezne tehnične in organizacijske ukrepe in s tem zagotoviti ustrezno raven varnosti glede na tveganje, je potreben še en element. In sicer – stalna zmožnost dokazovanja.

Zavarujte osebne podatke in poskrbite za troje: zmanjšajte zlorabe, lažje poiščite odgovorne v primeru zlorab ter povečajte zaupanje v organizacijo in njen ugled.

Kako zavarovati osebne podatke?

KAKO ZAVAROVATI OP?

–          Določite jasna pravila igre(omejitve dostopa in določanje pogojev za dostop),

–          zaposlene seznanjajte z vsebino pravilnikov,

–          redno preverjajte, ali se pravilnike upošteva v praksi,

–          zaposlenim omogočite dostop le do tistih OP, ki jih pri delu potrebujejo, ne več (težavo predstavljajo omejevanje pravic do datotek na strežnikih, neupoštevanje politike čiste mize, neomejen dostop do starih diskov, nezaklenjene omare),

–          sklenjene pogodbe o obdelavi OP s pogodbenimi obdelovalci naj vsebujejo določila o skrbi za zavarovanje osebnih podatkov,

–          redno pregledujte dostopne pravice(kartice, ključi, uporabniške pravice na strežnikih),

–          vzpostavite jasen sistem dodeljevanja in odvzemanja uporabniških/dostopnih pravic (kako poteka postopek dodeljevanja/odvzemanja pravic, kdo ga izvaja, kdo odobri).

–          omejite dostop do zbirk osebnih podatkov(ključi, kartice, uporabniška imena in gesla) in

–          šifrirajte in e-podpisujte prenose občutljivih osebnih podatkov prek telekomunikacijskih kanalov.

Kaj je v resnici problem sodobnega sveta?

KAJ JE V RESNICI PROBLEM SODOBNEGA SVETA?

GDPR SKOZI POUDARKE INFORMACIJSKE POOBLAŠČENKE MOJCE PRELESNIK – 5. DEL

V tradicionalne varnostne dejavnosti vstopajo konkurenti: 1) IT giganti, ki z algoritmi za analizo big data to naredijo hitro, ceneje in morda celo bolje, 2) data brokerji oz. trgovci s podatki, ki pridobivajo podatke o določenih posameznikih in jih nato posredujejo naprej, 3) posamezniki, ki sami brskajo po spletu kot ‘popoldanski, ljubiteljski detektivi’, 4) kibernetski kriminal, ki na črnem trgu omogoča nakup storitev nezakonitega pridobivanja ciljanih informacij.

Z razvojem sodobnih tehnologij v vse te tradicionalne varnostne dejavnosti – iskanje oseb, nadzor gibanja, brskanje, iskanje po preteklosti itd. – vstopajo konkurenti, ki konkurirajo detektivu. IT giganti, Google, Facebook, Microsoft imajo na razpolago algoritme za analizo t. i. big data, ki analizirajo stvari hitreje in uspešneje. Tega pred leti nismo poznali, zdaj pa imamo korporacije, ki to delajo namesto nas. Poznamo tudi pojav ‘data brokerjev’, tj. trgovcev s podatki, ki tudi opravljajo podobno dejavnost kot detektivi, storitve pa opravljajo za različne stranke (tudi organe pregona, delodajalce, upnike, prevarane partnerje itd.). Če ponazorimo s primerom farmacevtskega podjetja, ki želi na trg poslati novo zdravilo proti astmi. Od trgovca s podatki pridobi podatke o astmatičnih bolnikih, za podatke plačajo, nato pa svoje novo zdravilo ciljno oglašujejo.

Svojo zasebnost serviramo na pladnju

Zavedanje o pomenu zasebnosti se je začelo dvigovati, je pa bilo prvotno navdušenje nad sodobnimi tehnologijami in spletom, ko so ljudje dajali na razpolago praktično vse. Podatke pa se pridobiva na številne – tudi nezakonite – načine (prevare, socialni inženiring, vdori v informacijske sisteme, v nezavarovane pametne telefone in druge naprave). Poseben problem predstavlja fenomen, ki se imenuje ‘internet stvari’, saj vse več naprav deluje na principu pametne tehnologije, ki zbira raznorazne podatke.

»V vseh segmentih družbenega življenja se pojavlja razvoj sodobnih tehnologij in vsi se bomo morali prilagoditi temu življenju. Meja med realnim in digitalnim je čedalje manjša. Čedalje bolj se briše ta meja,« opozarja Informacijska pooblaščenka. Vsi sektorji pa morajo slediti bliskovitemu razvoju informacijske tehnologije.

Kaj je v resnici problem sodobnega sveta?

»Problem sodobnega sveta je preveliko število informacij, predvsem neprečiščenih informacij, ki jih enostavno ne moremo več obdelovati in se obrne nabor prevelikih informacij v lastno nasprotje. Govorimo o iskanju igle v kopici sena, ker ne vemo več, kaj je bistveno in kaj ne,« pojasnjuje Prelesnikova.

V luči boja proti terorizmu smo zbrali velike količine podatkov, tudi telekomunikacijski promet. Puščamo elektronske drobtinice, skupaj z računalništvom v oblaku pa pomeni, da problema s prostorom na strežniku ni več.Tako velike količine podatkov človek ne more obdelati, za kar potrebujemo umetno inteligenco, ki te količine podatkov obdeluje. A kjer se pri algoritmu pojavi napaka, je lahko obseg bistveno večji, kot če napako zagreši človek.

»Danes smo izpostavljeni 100-krat večji količini informacij kot pred 50 leti. Bombardirajo nas z vseh strani – z reklamami, političnimi sporočili, na družbenih omrežjih. Pojavil se je pojem informacijske slepote. Simptom je podoben sončni slepoti, kjer se oko tako poškoduje, da ne zmore več videti tako kot prej, ker je poškodovano. Ljudje smo zaradi prevelike količine podatkov nesposobni sprejemati odločitve. Naši možgani niso sposobni sprejemati toliko informacij, kot jih imamo na razpolago. Zato se človek izogiba odločanju, zatiska si oči, pojavljajo se blokade, ker enostavno nismo sposobni obdelati toliko podatkov,« pojasnjuje fenomen Prelesnikova.

Turistične agencije ponujajo posebne informacijske detoksikacije – razstrupljanje, vabijo nas v kraje, kjer ni interneta. Če se je včasih plačal dostop do interneta, se zdaj plača, da ga nimaš.Če je nekoč veljal strah pred zamujanjem nečesa, je zdaj veselje pred tem, saj imamo informacij preveč.

»Imamo ogromne količine informacij, ogromne količine osebnih podatkov in vsak upravljavec mora te podatke ustrezno varovati, pa ne le ker mu zakon to nalaga, temveč ker na ta način zmanjša možnost zlorab, predvsem pa bodo tiste organizacije in institucije, ki bodo sposobne prepričati uporabnike, da imamo ustrezno varovane osebne podatke, uspešne, ugledne, bogate,« je prepričana Informacijska pooblaščenka.

Kaj je profiliranje?

KAJ JE PROFILIRANJE?

GDPR SKOZI POUDARKE INFORMACIJSKE POOBLAŠČENKE MOJCE PRELESNIK – 4. DEL

Pravni položaj posameznika – pravice (77.–82. čl. GDPR): 1) pravica do pritožbe k informacijskemu pooblaščencu, 2) pravica do pravnega sredstva zoper informacijskega pooblaščenca, 3) pravica do pravnega sredstva zoper upravljavca/obdelovalca, 4) pravica do odškodnine in odgovornost (posameznik, ki je zaradi kršitve GDPR utrpel premoženjsko ali nepremoženjsko škodo, ima pravico od upravljavca/obdelovalca dobiti odškodnino. Odškodninsko odgovoren je vsak upravljavec, obdelovalec pa le za škodo, če pri obdelavi ne izpolnjuje obveznosti, ki mu jih posebej nalaga GDPR ali če je prekoračil zakonita navodila upravljavca ali je ravnal v nasprotju z njimi.).

Se kot uporabnik zavedate, da danes praktično nobena stvar ni zastonj?

Na področju varstva osebnih podatkov dobivamo pojem, ki v praksi ni nov, je pa normativno po novem urejen. Gre za profiliranje.

Kaj sploh je profiliranje ali oblikovanje profilov? Uporablja se za ocenjevanje osebnih vidikov – naj si bo za analizo za nazaj ali za predvidevanje za naprej. S profiliranjem se lahko ugotavlja vse, na vseh področjih našega življenja – lahko se predvideva ali analizira našo uspešnost pri delu, ekonomski položaj, zdravje ali osebni okus. Zgleden primer profiliranja predstavlja način delovanja veletrgovcev, ki nam sčasoma pošiljajo le še reklamne letake za tiste artikle, ki so v našem naboru nakupov. Če opazijo, da kupujemo le določeno znamko čokolade, drugih pa ne, nam bodo bolj intenzivno oglaševali tisto, ki nas zanima.

»Oblikovanje profilov je vsaka avtomatizirana obdelava osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja posameznika. Pomaga pri odločanju v bankah, zavarovalnicah, zdravstvu, davčnih postopkih, zavarovalništvu, v marketingu, pri oglaševanju itd. Avtomatizirano odločanje povečuje učinkovitost, varčevanje z resursi, povečuje prihranke, omogoča posamezniku prilagojeno oglaševanje itd.« (Mojca Prelesnik, Informacijska pooblaščenka)

Avtomatizirano odločanje je z vidika stroškov odlično. Povečuje učinkovitost, varčujemo z ljudmi, z resursi, ker vse delo namesto ljudi opravi računalnik. A kaj lahko strnemo iz dejstva, da o nas odločajo algoritmi? »Pri profiliranju nobena stvar ni zastonj. Kako mi to ugodnost plačujemo? Z osebnimi podatki,« pravi informacijska pooblaščenka, ki pojasnjuje, da na podlagi osebnih podatkov, institucije delajo naše profile in so tako marketinško veliko bolj uspešne, kot bi bile, če vseh teh podatkov ne bi obdelovale.

»Na srečo pa GDPR pravi, da četudi o nas odločajo algoritmi, smo še vseeno ljudje in imamo pravico zahtevati, da ne velja odločitev v tistih primerih na podlagi avtomatizirane obdelave, ne da bi se na koncu vmešal človek, če gre za pomembna področja – če gre za pravne učinke ali za druge pravnim učinkom znatne, pomembne učinke.« V teh primerih naj bi posameznik imel pravico, da vloži pritožbo, pravno sredstvo, in da o tej računalniški odločitvi dokončno odloči človek. Torej imamo možnost izpodbijati računalniško odločitev, pri čemer pa take avtomatizirane obdelave ne sme biti pri občutljivih osebnih podatkih oz. podatkih posebne vrste: »To so podatki, ki razkrivajo naše rasno ali etnično poreklo ali naše politično prepričanje, versko, filozofsko, vse vrste naših prepričanj. Ste član sindikata, je tudi občutljiv osebni podatek, vaši genetski podatki, vaši biometrični podatki, tudi zdravstveni podatki, vaše spolno življenje, to so vaši občutljivi osebni podatki in se lahko avtomatizirano obdelujejo samo če gre za izrecno osebno privolitev posameznika ali če to zakon določa«.

Zakon ali akt Evropske unije natančno ovrednoti, kdaj je to res nujno potrebno, sicer naj se avtomatizirane odločitve ne bi izvajale na nivoju posebnih osebnih podatkov. Vseeno ima posameznik pravico od upravljavca zahtevati potrditev, da je vključen v aktivnost profiliranja, pojasniti pa mora tudi, kaj taka odločitev pomeni.

»Če gre za avtomatsko odločanje, ki temelji zgolj na avtomatski obdelavi (torej tudi profiliranje), ki ustvarja pravne ali podobno pomembne učinke, je treba posamezniku: jasno in razumljivo povedati posamezniku, da je vključen v aktivnost profiliranja, dati povedno informacijo o uporabljeni logiki odločanja, razložiti pomen in posledice take obdelave.« (Mojca Prelesnik, Informacijska pooblaščenka)

A četudi ima posameznik pravico dobiti osnovne informacije, še vedno veljajo pravila poslovnih skrivnosti in intelektualne lastnine ali avtorskega prava. Algoritem kot formula je zaščiten. »Posameznik ima pravico do seznanitve z lastnimi osebnimi podatki, namenu obdelave, roku hrambe, uporabnikih osebnih podatkov, razlogih za avtomatsko obdelavo osebnih podatkov, o posledicah profiliranja. Te pravice pa ne smejo negativno vplivati na pravice drugih, vključno s poslovnimi skrivnostmi ali intelektualno lastnino, ter predvsem avtorske pravice, ki ščitijo programsko opremo, a obenem to za posameznika seveda ne sme pomeniti zavrnitev dostopa do vseh informacij,« pojasnjuje informacijska pooblaščenka.

V luči povedanega se postavljata dve vprašanji – ste kot obdelovalec pripravljeni na izpolnjevanje zahtev, ki smo vam jih predstavili v zadnjem odstavku? Posameznik pa se na upravljavca in obdelovalca lahko obrne s številnimi pravicami in posledičnimi poizvedbami.

Kaj prinaša GDPR posameznikom?

KAJ GDPR PRINAŠA POSAMEZNIKOM?

GDPR SKOZI POUDARKE INFORMACIJSKE POOBLAŠČENKE MOJCE PRELESNIK – 3. DEL

Kaj lahko storite, če ugotovite ali sumite, da nekdo obdeluje vaše osebne podatke brez ustrezne pravne podlage? Ali če sumite, da se vaši osebni podatki nezakonito obdelujejo, da niso ustrezno hranjeni ali pa da kakšnemu posamezniku ali instituciji uidejo iz zbirke – v najslabšem primeru na splet?

»Ena zelo pomembna pravica, ki jo dobivamo, pa je do zdaj nismo imeli, je pravica do prenosljivosti podatkov, t. i. data portability. Vedno, ko se bodo naši osebni podatki obdelovali na podlagi naše osebne privolitve (torej ne takrat, ko bo zakon to določal) in bo do te obdelave prihajalo z avtomatiziranimi sredstvi (torej brez človeške intervencije, ampak bo računalniški program obdeloval naše osebne podatke), bomo imeli možnost v primeru, da se naveličamo enega upravljavca, te podatke prenesti k drugemu obdelovalcu.« (Mojca Prelesnik, Informacijska pooblaščenka)

V teh primerih boste imeli možnost pritožbe k informacijskemu pooblaščencu. Tudi zoper odločbo tega nadzornega telesa boste še vedno imeli pravno varstvo pri upravnem sodišču, če ne boste vi ali zavezanec oziroma upravljavec zbirk osebnih podatkov zadovoljni z odločitvijo informacijskega pooblaščenca.

Možnost pravice do pravnega sredstva bo mogoča kot direktno sodno varstvo brez vključevanja informacijskega pooblaščenca, tako da ga lahko preskočite in greste neposredno na sodno varstvo. GDPR določa, da bo imel posameznik tudi pravico do odškodnine zoper upravljavca.

Upravljavca oziroma obdelovalca osebnih podatkov tako lahko doleti še zahtevek za plačilo odškodnine, poleg globe, ki jo bo upravljavcu izrekel informacijski pooblaščenec.

»Ena zelo pomembna pravica, ki jo dobivamo, pa je do zdaj nismo imeli, je pravica do prenosljivosti podatkov, t. i. data portability. Vedno, ko se bodo naši osebni podatki obdelovali na podlagi naše osebne privolitve (torej ne takrat, ko bo zakon to določal) in bo do te obdelave prihajalo z avtomatiziranimi sredstvi (torej brez človeške intervencije, ampak bo računalniški program obdeloval naše osebne podatke), bomo imeli možnost v primeru, da se naveličamo enega upravljavca, te podatke prenesti k drugemu obdelovalcu,« pojasnjuje informacijska pooblaščenka.

GDPR torej predvideva, da bo upravljavec nabor osebnih podatkov posameznika, torej vse, kar ima o njem, v strukturirani, splošno uporabljeni in strojno berljivi obliki te podatke posredoval posamezniku, da jih ta lahko prenese k drugemu upravljavcu. Ko pa bodo tehnične zmožnosti zrele, pa bo posameznik lahko celo zahteval, da upravljavec te podatke prenese kar neposredno.

Samo pravni vidik torej ne bo zadoščal za zadostitev zahtevam z GDPR. Poskrbite, da bo delovanje z zahtevami nove uredbe skladno tudi z vidika informacijske tehnologije.